某些不知道端口號的程序的開放方法
比如某些期貨交易軟件,出于安全方面的考慮,不會在網上公開所使用的端口號和交易服務器的地址,這樣的程序要在ACL中放開對它的限制就比較困難,但是前幾天也讓我找到了解決的方法。即首先在CISCO3550交換機的18口上取消ACL的應用,這樣8樓豎井的交換機下面的用戶就可以使用期貨交易系統了,先在一臺微機上退出所有的運行的網絡程序,執行一遍netstat –an,然后聯上交易系統,再執行一遍netstat –an,對比兩次顯示的結果,就會發現在目標地址里多出了一個地址,這個地址就是交易服務器的地址,我們在ACL中允許內網所有的微機對這個地址的訪問就OK,如下所示:
permit ip any host 58.*.*.26
(這是某期貨交易軟件的交易服務器的地址)
準確找出某個應用程序所用的端口號
有一些網絡應用程序,比如聊天工具,會使用多個服務器,但是程序所用的端口號是相對固定的,比如昨天有一位同事在家里給我打來電話(家里面也是用的單位局域網),說是一個名叫YY的聊天程序不能使用,希望我幫助他處理一下,有了上一次的經驗,我感覺比較有信心了,還是通過netstat –an來找到所需的信息,但是這次我加了一點小技巧,那就是通過管道命令將兩次顯示的結果分別記錄到兩個文件中,再通過FC命令比較這兩個文件,即將準確的找到所需的信息,命令操作如下:
- D:/>netstat -an >>1230.txt
- D:/>netstat -an >>1230a.txt
- D:/>fc 1230.txt 1230a.txt
正在比較文件 1230.txt 和 1230A.TXT
- ***** 1230.txt
- TCP 10.65.158.16:3917 61.158.244.141:7081 TIME_WAIT
- TCP 127.0.0.1:1032 0.0.0.0:0 LISTENING
- ***** 1230A.TXT
- TCP 10.65.158.16:3917 61.158.244.141:7081 TIME_WAIT
- TCP 10.65.158.16:3993 121.11.65.108:8081 ESTABLISHED
- TCP 10.65.158.16:3997 115.236.2.74:7081 ESTABLISHED
通過比較就可以看到,在已經建立的進程中,目標地址主要有兩個端口號,一個是7081,一個是8081,將這兩個端口放開,
- permit tcp any any eq 7081
- permit tcp any any eq 7081
再應用ACL到指定的端口,還是可以繼續使用YY這款軟件,說明我們已經在ACL中放開了YY軟件連接網絡所使用的端口號。
其實,利用360安全衛士中的流量管理中的“網絡連接”功能也能看出YY程序所使用的端口號,如圖2所示:
圖2 通過360安全衛士的網絡連接功能查看程序所使用的端口號
但是不是每臺機器都安裝了360安全衛士這款軟件,沒有條件的時候就使用netstat –an命令,有條件的話,就兩個方法結合著來,這樣會更準確一點。
局域網簡易流控管理的應用就為大家介紹完了,希望大家已經掌握來。
轉載連接:http://network.51cto.com/art/201104/255105.htm
